如何在百万行代码中发现隐藏的后门

已于 2023-03-20 09:32:12 修改
阅读量2.5w 收藏 19
点赞数 4
分类专栏: 【应急响应实战笔记】 文章标签: php 开发语言
于 2020-04-13 08:00:14 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_23936389/article/details/105501674
版权
面对大型应用系统的百万行代码,手动查找后门不切实际。文件完整性验证是有效方法,包括文件MD5校验、diff命令、版本控制工具(如Git)和代码对比工具(如Beyond Compare、WinMerge)。这些工具能帮助识别篡改和新增内容,确保代码安全。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

试想一下,如果你的网站被入侵,攻击者留下隐藏的后门,你真的都可以找出来嘛?面对一个大中型的应用系统,数以百万级的代码行,是不可能做到每个文件每段代码进行手工检查的。

即使是一款拥有99.9%的Webshell检出率的检测引擎,依然可能存在Webshell绕过的情况。另外,像暗链、网页劫持、页面跳转等常见的黑帽SEO手法,也很难通过手动检测或工具检测全部识别出来。

最好的方式就是做文件完整性验证。通过与原始代码对比,可以快速发现文件是否被篡改以及被篡改的位置。当然,第一个前提是,你所在的团队已具备代码版本管理的能力,如果你是个人站长,相信你已经备份了原始代码。

本文将结合实际应用,介绍几种文件完整性验证方式,可以帮助你找出代码中所有隐藏的后门。

1、文件MD5校验

当下载D盾_Web查杀工具的时候,我们可以留意到下载的压缩包里,除了有一个exe可执行文件,还有一个文件md5值。这个是软件作者在发布软件时,通过md5算法计算出该exe文件的“特征值”。




                

        

        

    

  


        

            

                

                

                了解本专栏
                
                
                  
                订阅专栏 解锁全文
                 
                
                    
                    超级会员免费看
                
            

            
            
            
        


    



                



	

		

			

				
					
Phpstudy 隐藏后门远程代码

				
			

			

				

					玄道的网安博客
				

				

					05-20
					
					3463
					
				

			

		

		

			
				
漏洞介绍

phpstudy 是一个php快速集成环境, 主要用于学习测试, 但是也有很多人为了方便事就直接拿来部署服务器了

影响主件

phpstudy

漏洞指纹

phpstudy 探针

漏洞分析

phpStudy 后门分析

后门php_xmlrpc.dll文件中,有关键词:"eval(%s(%s))";

phpStudy2016路径
php\php-5.2.17\ext\php_xmlrpc.dll
php\php-5.4.45\ext\php_xmlrpc.dll

phpStudy

			
		

	



                

            
              



	

		

			

				
					
骗子查询源码(神奇已检查无后门

				
			

			

				

					04-14
				

			

		

		

			
				
我们一直知道骗子是一个很烦人的群体
所以神奇在这里提供一个骗子查询系统提放受骗

			
		

	



              


  
              

                


	

		

			

				
					
D盾网站源码后门木马检测工具

				
			

			

				

					11-07
				

			

		

		

			
				
D盾网站源码后门木马检测工具

			
		

	





	

		

			

				
					
阿里云提醒 网站被WebShell木马后门的处理过程

				
			

			

				

					网站安全专家
				

				

					01-10
					
					6839
					
				

			

		

		

			
				
昨晚凌晨收到新客户的安全求助,说是阿里云短信提示,网站有webshell木马文件被植入,我们SINE安全公司立即成立,安全应急响应小组,客户提供了阿里云的账号密码,随即登陆阿里云进去查看到详情,登陆云盾看到有这样的一个安全提示“网站后门-发现后门(Webshell)文件”事件等级:紧急,影响资产:阿里云ECS:ID,然后贴出了网站木马文件的路径地址:/www/wangzhan/safe/indnx...

			
		

	



		

			
		



	

		

			

				
					
应急响应实战笔记——入侵排查篇:④ 如何发现隐藏的 Webshell 后门

				
			

			

				

					君逍遥o
				

				

					03-27
					
					1381
					
				

			

		

		

			
				
如何在百万代码发现隐藏后门?试想一下,如果你的网站被入侵,攻击者留下隐藏后门,你真的都可以找出来吗?面对一个大中型的应用系统,数以百万级的代码,是不可能做到每个文件每段代码手工检查的。即使是一款拥有 99.9% 的 Webshell 检出率的检测引擎,依然可能存在 Webshell 绕过的情况。另外,像暗链、网页劫持、页面跳转等常见的黑帽 SEO 手法,也很难通过手动检测或工具检测全部识别出来。最好的方式就是做文件完整性验证。

			
		

	





	

		

			

				
					
云服务器可疑安全事件 警告:发现后门(Webshell)文件网站后门 手动处理流程

				
			

			

				

					
				

				

					06-30
					
					6911
					
				

			

		

		

			
				
云服务器出现了可疑安全事件:包含WEBSHELL代码的日志/图片文件  处理流程

			
		

	





	

		

			

				
					
服务器发现后门文件,wordpress网站被挂马或发现后门Webshell文件攻击如何处理?...

				
			

			

				

					weixin_33316599的博客
				

				

					08-06
					
					1408
					
				

			

		

		

			
				
wordpress在全球前一千万个网站中占有率30%,可想而知wordpress作为外贸网站建站还是企业网站建站都是非常不错的选择。但是wordpress网站被挂马或发现后门Webshell文件攻击我们如何处理?网站被挂马或被攻击的表现症状如下:一:网站出现跳转(有些pc不跳转,但是手机端跳转)二:网站打开速度奇慢,用开发者工具甚至出现一堆404三:网站能打开,但是部分或者全部页面被篡改四:网站页...

			
		

	





	

		

			

				
					
第07篇:如何在百万代码发现隐藏后门1

				
			

			

				

					08-03
				

			

		

		

			
				
本文将探讨四种有效的方法,帮助你在百万代码发现潜在的后门。  1. **文件MD5校验**:  文件MD5校验是一种常用的验证文件完整性的方法。MD5(Message-Digest Algorithm 5)是一种哈希函数,它能将文件转换成一个...

			
		

	





	

		

			

				
					
一个不易被发现PHP后门代码解析

				
			

			

				

					10-25
				

			

		

		

			
				
首先,我们来了解后门代码中使用的特殊字符——反撇号(`)。在PHP中,反撇号用于执操作系统命令,其功能等同于PHP函数shell_exec()。这意味着,通过反撇号,PHP脚本可以执任何操作系统命令。这一功能本身是无害...

			
		

	





	

		

			

				
					
backcookie:一个简单的python工具在cookie中隐藏后门

				
			

			

				

					04-04
				

			

		

		

			
				
"在cookie中隐藏后门"意味着该工具能够将恶意代码隐藏指令放入Cookie中,一旦用户下次访问网站时,携带了这种后门的Cookie会被服务器识别,从而允许攻击者执预定的恶意操作。  **标签关联:**  "Python"表明...

			
		

	





	

		

			

				
					
如何有效查看PHP源码以检测潜在后门

				
			

			

				

					2401_86114092的博客
				

				

					07-08
					
					897
					
				

			

		

		

			
				
这些后门通常被设计得非常隐蔽,可能隐藏在正常的代码中,或者通过混淆、加密等手段进伪装。在查看PHP源码时,我们需要检查所有与数据库相关的代码段,特别是那些用于插入、更新和删除数据的操作。在阅读过程中,我们需要特别关注那些与文件操作、数据库连接、系统命令执等相关的代码段,因为这些地方是后门最可能隐藏的地方。因此,在查看源码时,我们需要特别注意这些代码段,并检查它们是否包含或执了不可信的外部文件或代码。因此,在查看源码时,我们需要特别注意这些代码段,并检查它们是否可能被用于执恶意操作。

			
		

	





	

		

			

				
					
网站源码后门辅助检测工具 0.1简体中文绿色免费版 [可以自添加正则表达式]

				
			

			

				

					05-29
				

			

		

		

			
				
网站源码后门辅助检测工具 0.1简体中文绿色免费版 [可以自添加正则表达式]

			
		

	





	

		

			

				
					
木马后门检测分离工具包

				
			

			

				

					01-25
				

			

		

		

			
				
一间查询后门,木马,分离 工具包。让你的电脑不再被后门困扰

			
		

	





	

		

			

				
					
【BUUCTF杂项题】后门查杀、webshell后门

					
最新发布

				
			

			

				

					Power的博客
				

				

					02-04
					
					566
					
				

			

		

		

			
				
webshell 病毒查杀 MD5编码

			
		

	





	

		

			

				
					
Linux系统的PHP-Webshell后门实验

				
			

			

				

					A0000FF的博客
				

				

					04-02
					
					1136
					
				

			

		

		

			
				
中国菜刀是一款专业的网站管理软件,用途广泛,使用方便,小巧实用。只要支持动态脚本的网站,都可以用中国菜刀来进管理!在非简体中文环境下使用,自动切换到英文界面。UINCODE方式编译,支持多国语言输入显示。

			
		

	





	

		

			

				
					
文件上传漏洞获取webshell

				
			

			

				

					phantomshad的博客
				

				

					10-04
					
					1515
					
				

			

		

		

			
				
php一看/test.jpg/test.php不存在,便删去最后的/test.php,又看/test.jpg存在,便把/test.jpg当成要执的文件了,又因为后缀为.jpg,php认为这不是php文件,于是返回Access denied。原理:虽然web应用做了校验,但是由于文件上传后的路径用户可以控制,攻击者可以利用手动添加字符串标识符0X00的方式来将后面的拼接的内容进截断,导致后面的内容无效,而且后面的内容又可以帮助我们绕过黑白名单的检测。后面的直接被忽略,也就是说当成xx.asp文件执

			
		

	





	

		

			

				
					
php源码查后门,某一次排查源码后门的过程

				
			

			

				

					weixin_39762856的博客
				

				

					03-10
					
					4532
					
				

			

		

		

			
				
源码藏后门这种事情,屡见不鲜了。文件包含,文件调用,拼接,大小马,htaccess文件做手脚等等………不过今天我就遇到个奇葩,藏了后门还不承认,非说是程序自带的。给大家看看程序结构先。我检查了我所知道的一切后门方式。也用扫描器查找了一般,以为安全了直接上服务器部署好了,域名解析开始使用。第二天,莫名其妙登录日志有其他人了。也没太在意,觉得应该是自己登录路径和密码设的不够复杂,被人试出来了。改了一下...

			
		

	





	

		

			

				
					
php后门拿下当前目录

				
			

			

				

					aici0819的博客
				

				

					03-26
					
					425
					
				

			

		

		

			
				
Weevely是一个模拟类似telnet的连接的隐形PHP网页shell。它是Web应用程序后期开发的必备工具,可以作为隐形后门程序,也可以作为一个web外壳来管理合法的Web帐户,甚至可以免费托管。

weevely是一款针对PHP的webshell的自由软件,可用于模拟一个类似于telnet的连接shell,weevely通常用于web程序的漏洞利用,隐藏后门或者使用类似tel...

			
		

	





	

		

			

				
					
安全应急方法-发现后门文件

				
			

			

				

					HRay's blog
				

				

					03-27
					
					3687
					
				

			

		

		

			
				
主要指非web类后门,web类后门可参考一中的4及后面部分
       1)记录文件stat信息,备份文件并删除
       2)通过netstat -anltp命令可查看到当前连接信息及建立连接的进程pid,kill掉可疑连接的进程,且已知进程pid可以执ls -al /proc/pid值 通过exe对应位置找到后门文件路径
       3)通过ps aux命令检查是否存在其他可疑

			
		

	





	

		

			

				
					
揭秘:隐藏在Python中的Windows后门技术

				
			

			

				

					
				

			

		

		

			
				
后门程序可能包含隐藏的通信通道、恶意代码等功能。  3. 使用Github作为C2服务器的创新与风险:本例中提到的后门使用Github作为命令与控制(Command and Control,简称C2)服务器。通常情况下,Github作为流的...

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  





	
打赏作者

	

		

		
			
		
		

		

			
Bypass--

			
你的鼓励将是我创作的最大动力

		

	

	

			

	

	

    ¥1
    ¥2
    ¥4
    ¥6
    ¥10
    ¥20
	

	

		

			

				

					扫码支付:¥1
				

				

					

					
					获取中
					

				

				

					
					
					扫码支付
				

			

		

		

			
您的余额不足,请更换扫码支付或充值

			
打赏作者

		

	



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值